Test: externe USB3.0-Festplatte WD MyBook mit Verschlüsselung

Die kurze Fassung: Die WD MyBook 3 TB ist eine flotte, externe USB-3.0-Platte (3,5 Zoll) mit solidem Lieferumfang für faires Geld. Die mitgelieferte Backup-Software WD SmartWare bekleckert sich erwartungsgemäß nicht mit Ruhm, kann aber typische Standardaufgaben bewältigen und eine kontinuierliche Sicherung oder tägliche/wöchentliche/monatliche Backups definierbarer Verzeichnisse arrangieren. Der Passwortschutz mit Verschlüsselung stellt, richtig konfiguriert, für private Nutzer soliden Schutz gegen den Zugriff Unbefugter bereit, sollte aber bei wertvollen Daten mit softwarebasierter Verschlüsselung ergänzt werden.

Fazit: Für 100 Euro (bei Amazon, Stand 2015/01) eine eigentlich ganz anständige Backup-Lösung, die nur in Details nervt.

... und hier die Details zu Lieferumfang, Backup-Software und Verschlüsselungsfunktion der Platte:

Lieferumfang der USB3.0-Festplatte WD MyBook?

Schwarze Platte mit üblich-unnötiger 'Klavierlack'-Optik. Lobenswert: ein für USB 3.0 unüblich langes Kabel (1,2m!). Externes Netzteil: akzeptabel klein, könnte noch kompakter sein. Die WD My Book wird im Stand betrieben: Ich mag das nicht, aber es spart gewiss Platz. Am mechanischen Ein/Aus-Schalter hat WD gegeizt, das finde ich schade.
Hier die Rückseite:

Wie schnell ist die Platte?

In meinem Fall hobelte eine WD30EZRX im Gehäuse. Ich messe etwa 140 bis 150 MByte pro Sekunde an USB 3.0. Zum Vergleich: eine externe, kleine 2,5-Zoll-Transcend StoreJet H3B kommt am selben USB 3.0 auf 102 MByte/sec und meine SATA-Platten, meist WD Greens vom Typ WD20EZRX, kommen an SATA auf 120 bis 140 MByte/sec, meine SSD auf 520 MByte/sec. Anders gesagt: Diese externe USB-3.0-Platte ist trotz Verschlüsselung ebenso schnell wie meine internen (bei denen mir allerdings Laufruhe und geringe Abwärme wichtiger waren als Speed).

Wie warm wird das WD MyBook?

Im Dauerbetrieb geht die Temperatur bei mir schon mal auf 39 Grad hoch (SMART-Angabe), wird aber nicht fühlbar warm.

Wie laut ist das Western-Digital-Drive?

Für mich nicht zu hören.

Muss man MyBook-Treiber installieren?

Ja und nein.
Beim Anschluss an Windows sollte man mindestens die 'SES-Treiber' installieren, andernfalls poppt bei jedem Anschließen der Hardwareassistent hoch. Dass man einen Treiber installieren muss, nervt puristische Nutzer wie mich brutalst, zumal WD den Nutzen dieser Treiber vage mit „Zusatzfunktionen“ begründet, die zu nennen man aber nicht fähig ist. Ich habe mich hier einfach mal vom Purismus verabschiedet und zähneknirschend die Treiber installiert.

Hat die WD-MyBook-Platte wirklich 3 Terabyte?

Nein. Die Angabe „3 TB“ auf der Packung ist zu 10 Prozent Beschiss. Leider ist das branchenüblich und wird meist technisch brabbelnd begründet (weil es ~ 3.000.000.000.000 Byte sind). Mir ist klar, warum theoretische „3 TB“ zu praktischen „2,7 TB“ werden; doch wie man technisch begründen könnte, warum man dann nicht einfach „2,7 TB“ auf die Packung schreibt, bleibt mir ein Rätsel.
Neben der Version mit 3 TB gibt es auch eine mit 2 TB, 4 TB und 6 TB.

Kann man die 3TB partitionieren?

Ich habe es probiert und verlor dabei jeweils 1 TB (!). Der Grund ist, dass technische Limits aus der Windows/BIOS-Geschichte bei dieser Art von Festplattenbauweise nicht problemlos mit mehr als 2 TB arbeiten können (Details würden diesen Beitrag sprengen). Meine Mühle ist sichtlich zu alt und „3 TB“ genau eine Stufe zu groß. Auch „Verkleinern“ oder „Vergrößern“ ist nicht drin.
Nur die Tools WD Drive Utilities und WD Quick Formater konnten bei mir wieder die 3-TB-Partition (also die mit 2,7 TB …) herbeiführen (und auch das nie fehlerfrei).
Wer keine Probleme riskieren will, nimmt vielleicht lieber die (kaum preiswertere) 2-TB-Version des WD MyBook.

Welche Software ist dabei und was kann sie?

Verwende ich nie, fast immer Schrott; für diesen Test wollte ich es wissen und habe mir die WD-Dreingaben angetan.

  • WD Drive Utilities: Damit prüfen Sie das Laufwerk, rufen den SMART-Status ab, formatieren die HDD neu, legen ihren Sleep-Timer fest. Wichtig und Essentiell.
  • WD SmartWare: Eine Datensicherungssoftware für Backup und Restore, auf die ich hier genauer eingehe. Halbwegs nützlich.
  • WD Security: Damit richten Sie den „Passwortschutz“ für die „Verschlüsselung“ der Festplatte ein, auf die ich noch genauer eingehe. Halbwegs nützlich.
  • WD Drive Unlocker: Tool, dass die externe Platte bei aktiviertem Passwortschutz „freischaltet“.
  • WD Quick View: Systray-Mini-Anwendung, die auf Wunsch zeigt, wieviel Prozent der Festplatte belegt sind, ob sie gesperrt ist, ob die Temperatur „OK“ ist. Überflüssig.

Sicher unnötig zu erwähnen, dass sich gleich drei dieser Tools (SmartWare, Drive Unlocker, Quick View) in Autostart-Bereiche eintragen.

Kann ich meine Image-Backups drauf speichern?

Ja, aber nur, wenn Sie das Feature Passwortschutz & Verschlüsselung *nicht* nutzen!
Wenn Sie Passwortschutz/Verschlüsselung verwenden, rate ich ab. Denn beim Wiederherstellen ist es mit einiger Wahrscheinlichkeit so, dass Sie im Moment des Restores keinen Zugriff auf das Drive haben werden, etwa von einer Windows-Start-CD aus. Gesicherte Backups wären dann unerreichbar.
Tüftler können das umgehen (WD Unlocker auf eine selbergepfriemelte WinPE-Rescue-CD packen und vor dem Restore aufrufen), aber eben nur mit Aufwand.

Taugt SmartWare als Backup-Software was?

Siehe Beitrag: WD SmartWare als Backup-Software

Was bringt Passwortschutz & Verschlüsselung mit 'WD Security'?

Mit WD Security legen Sie ein Passwort für das Drive an. Danach sind die Daten nur „zugänglich“, wenn man das Passwort hat.

Von der Einstellung Automatisches Entsperren aktivieren für Benutzer: ist abzuraten, sofort man nicht auch seinen Rechner verschlüsselt und passwortgeschützt hat.

Genießen Sie die beruhigende Gewissheit, dass Ihre Daten mit Passwortschutz und Hardware-Verschlüsselung vor unerlaubten Zugriffen sicher sind.“, verspricht WD. Ich persönlich hege diese beruhigende Gewissheit nicht: Ich habe mal ordentlich Daten auf die passwortgeschützte Platte gehauen. Sie wurden irgendwie „verschlüsselt“ - aber mit was?

Aufschluss darüber gibt, was passiert, wenn man das Passwort ändert oder es entfernt. Dann nämlich wird nicht etwa die Platte in einem langen Prozess mit diesem neuen Passwort neu verschlüsselt oder entschlüsselt. Sondern sie hat dann halt – zack! – ein neues Passwort. Man muss die Kiste nicht auseinanderlöten, um sich klarzumachen, dass hier offenbar nicht das Passwort (auch nicht in verarbeiteter Form) als Key zum Verschlüsseln dient.

Was also ist der verwendete Schlüssel und wo liegt er? Mit einiger Wahrscheinlichkeit ist er ein mit jedem „harten Löschen“ neu erzeugter Wert, die irgendwo im Gerät selbst existiert. Er ist das Einzige, was mit dem Nutzerkennwort ver- und entschlüsselt wird! Der Inhalt der Platte wird mit dem aktuellen Schlüssel innerhalb der Platte chiffriert.

Aus puristischer Sicht ("James-Bond-Sicherheit") bestehen daher Probleme mit der „beruhigenden Gewissheit“, auch wenn die Daten auf der Festplatte immer (irgendwie) verschlüsselt sind. Denn wer die Platte stiehlt, erhält damit automatisch auch die Entschlüssungskomponente, ihm fehlt nur der "Schlüssel zum Schlüssel".
Aus pragmatischer Sicht ("Mein geheimes Pubertäts-Tagebuch") ist das aber - bei hinreichend lang gewähltem Passwort - kein Problem, das private Nutzer im Alltag betrifft.

'Automatisches Entsperren aktivieren'?

Nochmal, zur Sicherheit:
Die Option Automatisches Entsperren aktivieren für Benutzer: <ihr Name> sorgt dafür, dass Ihr PC beim hochfahren automatisch die Platte entsperrt. Das ist höchst praktisch, weil man dann das Passwort nicht eingeben muss, und daher ist es gewiss bei den meisten Platten dieser Art so eingestellt. Zugleich ist Windows ohne Passwort starten einer der meistgesuchten Beiträge in diesem Blog, ergo ebenfalls auf vielen Rechnern normal.
Aber.
Wer das so eingestellt hat, braucht den Passwortschutz eigentlich gar nicht zu aktivieren. (Ausnahme: Sicherung der Platte beim Transport.) Denn allein das Anschalten des Rechners führt zur Deaktivierung des Schutzes. Es mag einigen banal erscheinen, das in dieser Deutlichkeit zu erwähnen, aber leider ist das nicht jedem Nutzer klar.

Ist das MyBook 'sicher'?

Kommt darauf an, welche Geheimnisse Sie gegen welche Art von Angreifer schützen wollen. Es ist ein 100-Euro-Drive; allein die Festplatte kostet etwa 100 Euro (WD30EZRX), da bleiben für den Schutzmechanismus (Krypto-Chip) grob geschätzt 0 bis 5 Euro. So betrachtet bietet das Ding also einen 0-bis-5-Euro-Schutz.

Für den normalen Nutzer, der nur einfach nicht will, dass seine Daten – vom Familienfoto bis zur wenig geheimen Firmenpräsentation – im Fall
1. eines Einbruchs mit Diebstahl der Platte oder
2. des Verlusts der Platte während eines Transports „ungehindert“ in die falschen Hände gerät, reicht das mit einiger Wahrscheinlichkeit. Bei solchen zufälligen, nicht zielgerichteten Angriffen würde der Nutzen (Datenzugriff erhalten) nicht den Aufwand (Drive knacken) rechtfertigen. Der Dieb würde die Platte formatieren und nutzen.

Bei hinreichend hohem Wert der zu schützenden Daten sollte man hingegen diese Schutzfunktion des Laufwerks ernsthaft hinterfragen und mit zusätzlichem Schutz ergänzen, zum Beispiel per Dateiverschlüsselung (etwa mit Encfs) oder über verschlüsselte Containerdateien (TrueCrypt/VeraCrypt oder Steganos Safe.) Eine Verschlüsselung der gesamten Festplatte mit DiskCryptor oder Bitlocker erscheint mir wegen des 3-TB-Problems potentiell problematisch (habe es nicht ausprobiert).

Schlauere als ich haben sich bereits mit dem Thema beschäftigt, siehe das PDF Self-Encrypting Disks pose Self-Decrypting Risks und das Video (Un)Sicherheit Hardware-basierter Festplattenverschlüsselung. Betont sei aber, dass die Einwände dieser Experten für die Zielgruppe von Familienvätern, die ihre zweite Buchhaltung oder ihre heruntergeladenen Russ-Meyer-Filmchen vor der Gattin verstecken wollen, weit über das Ziel hinausschießen, zumal die gegebenen Sicherheitsprobleme durch bequeme Fehlbedienung (etwa durch Aktivierung der Option 'Automatisches Entsperren aktivieren für Benutzer: <ihr Name>') viel wahrscheinlicher sind. Dennoch lesens- und sehenswert!

Hier ein Videovortrag zum Thema:

Was passiert, wenn ich mein Passwort vergesse?

Erst mal kommt 'ne Fehlermeldung.

Nach fünfmaliger Fehleingabe des Passwortes bietet WD Security / WD Unlocker an, die Platte zu löschen. (Auf meinem System gelingt das nur teilweise, stets kann die Software die Partition nicht formatieren und mounten.)

*Nach* diesem Prozess sind die Daten unwiderruflich futsch.

Was passiert, wenn die Festplatte kaputt geht und ich irgendwie Daten recovern muss?

Da die Platte mit an Sicherheit grenzender Wahrscheinlichkeit die Daten *immer* verschlüsselt und das Passwort nur für den Zugang zum (temporären) Schlüssel schützt, würden Sie mit hoher Wahrscheinlichkeit nichts recovern können, selbst dann, wenn Sie den Passwortschutz nicht aktiviert hatten.

Anders gesagt: Wichtige Daten sollten nicht auf der WD MyBook alleine liegen, sondern redundant auch an einem anderen Ort. Es ist als Datenablage und Archiv nicht geeignet.

Was sollte ich tun, wenn ich die Festplatte gebraucht weiterverkaufe?

1. Richten Sie den Zugangsschutz mit einem ungeheuer komplizierten Passwort ein. Sie müssen es sich nicht merken!
2. Werfen Sie dann die Platte aus und schließen Sie sie wieder an.
3. Melden Sie sich nun fünf Mal vergeblich an und „löschen“ Sie dann die Platte wie vom Tool angeboten.
Damit sind ihre Daten weg, weil nun wirklich mit hoher Wahrscheinlichkeit ein neuer Schlüssel festgelegt wurde, wodurch der alte Key weg ist, was die Daten unlesbar macht.

Besonders Paranoide wiederholen diesen Vorgang drei mal.
Extrem Paranoide sieben mal.
Wahnsinnig Paranoide schreddern vorher die Platte mit den üblichen Tools wie sdelete oder Eraser.
(Ich halte das für Unfug.)

Nervt die Lizenz?

Was für ein Zufall, dass Sie das fragen!
Die EULA hat 35.000 Zeichen, das entspricht etwa 18 Buchseiten, und erfreut mit Hinweisen wie „Sie bestätigen, dass WDT nicht verpflichtet ist, Aktualisierungen (wie unten definiert) der Software bereitzustellen. Mitunter gibt WDT jedoch aktualisierte Versionen der Software heraus.“
Und natürlich das übliche Juristengeschwurbel, dass man an nichts Schuld ist und nichts garantiert. Auf gut Deutsch: Danke für Deine 100 Euro, Kunde, ab jetzt bist Du uns wurst. Ändert natürlich nichts an einem Jahr gesetzlicher Gewährleistung.
Heiter auch: Um die Datenschutzrichtline betrachten zu können, muss man zunächst den Online-WD-Cookie-Bestimmungen und damit den Web-Daten(nicht)schutzbedingungen zustimmen; die eigentliche Daten(nicht)schutzrichtline (englisch) bleibt vage, wenn es darum geht, was denn nun genau gespeichert wird („automatically collected information may include diagnostic, technical, usage and related information about your WDT Product … We may also collect IP addresses and other geographic information …“) . Eigentlich müsste man an dieser Stelle schon aufhören und Western Digital ihr Produkt wieder zurückgeben. Denn es muss ja wohl möglich sein, eine Festplatte zu nutzen, ohne damit gleich ins Räderwerk der Corporate-Vorratsdatenspeicherung zu geraten.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau ’normaler Nutzer‘ und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht’s um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

18 Antworten

  1. Matzle sagt:

    Vielen Dank für diesen Beitrag.
    Ich denke schon länger darüber nach, mir eine hardware-seitig verschlüsselte, externe Festplatte für meine Backups zu kaufen, damit ich nicht immer den TrueCrypt-Container vor einem Backup mounten muss. Aber dein Bericht zeigt mir, dass Platten dieser Preiskategorie nicht dem entsprechen, was ich benötige/haben möchte.

  2. Fauler Willi sagt:

    Nach einiger Recherche bin ich nun der Meinung, dass ein WD My Book mit relativ wenig Aufwand geknackt werden kann.

    Zitat von der Webseite eines Anbieters von Entschlüsselungssoftware:
    ~~~~~~~~~~~~~~~~~~
    Many years of research and development allowed us to get into the firmware area where hard drives store passwords. Some hard drives store passwords in plain text, other encrypt them, but if we can read/write that area, then we can easily re-set the password whether it is encrypted or not.
    ~~~~~~~~~~~~~~~~~~

    Eine Datenrettungsfirma informiert wie folgt:
    ~~~~~~~~~~~~~~~~~~~~~~~
    Wir können nun auch WD (Western Digital) Festplatten, welche über das externe Gehäuse mit einer hardwareseitigen Verschlüsselung beschrieben wurden, retten. Auch wenn das Festplatten Gehäuse defekt oder nicht mehr vorhanden ist können Ihre Daten gerettet werden!...
    ~~~~~~~~~~~~~~~~~~~~~~~~

    Daraus schließe ich:

    1) Alle WD My Books verwenden den gleichen Standardschlüssel für die HW-Verschlüsselung.

    2) Das Paßwort kann mit einer Spezialsoftware zurückgesetzt werden.

    Ein WD My Book schützt also nur rudimentär. Sensible Daten erfordern eine SW-Verschlüsselung, bei der das Paßwort der Verschlüsselungskey ist.

    • Das sieht auf den ersten Blick so aus, aber das täuscht. Was die Datenrettungsfirma anbietet, ist, die Inhalte der Festplatte zu retten, SOFERN DAS PASSWORT BEKANNT ODER NICHT GESETZT IST.

      Zitat: "Wenn ein Passwort vom Benutzer gesetzt wurde, muss dies für eine erfolgreiche Datenrettung natürlich vorhanden sein! Die AES Verschlüsselung ist leider auch von uns auch nicht zu umgehen"

      Hintergrund: Bei dieser Art von Festplatte wird der *Inhalt* (=die Daten) IMMER verschlüsselt, das ist das Prinzip der Self Encrypting Devices. Das Passwort des Nutzers (der "Nutzer-Schlüssel") dient aber nur dazu, den eigentlich die Daten verschlüsselnden SCHLÜSSEL (den "Platten-Schlüssel") zu verschlüsseln, mit dem die Daten verschlüsselt werden. Bei mit Passwort (also dem "Nutzer-Schlüssel") geschützten WD-Platten ist daher der "Platten-Schlüssel" NICHT nutzbar (weil verschlüsselt). Ergo: Die Platte ist auch für dieses Unternehmen geschützt.

      Hat der Nutzer das Passwort nicht gesetzt, existiert jedoch kein Schutz des "Platten-Schlüssels" durch den "Nutzer-Schlüssel" - und *dennoch* werden die Daten auf der Platte verschlüsselt (per "Platten-Schlüssel", ohne dass der Nutzer es bemerkt). Daraus ergibt sich das Szenario, dass, wenn das Gehäuse mit dem "Platten-Schlüssel" kaputt geht, die noch funktionierende Festplatte "Platten-Schlüssel"-verschlüsselt vorliegt und der Nutzer nicht mehr an seine Daten rankommt, weil er ja den eingebauten, evtl. nie genutzten Entschlüssler des Gehäuses nicht mehr besitzt (analog zu: Platte aus einem PC mit TrueCrypt ausbauen, in einen PC ohne TrueCrypt-Installations*möglichkeit* einbauen). In diesem, und nur in diesem Fall kann dieses Unternehmen helfen.

  3. Fauler Willi sagt:

    Hallo Herr Winterer!

    Erst mal besten Dank für Ihre freundliche Antwort!

    "...ist leider auch von uns auch nicht zu umgehen" - dahinter stand ein Smilie. Und ich habe auch einen Verdacht, wie dieses Smilie zu interpretieren ist. Nämlich dahingehend, daß bei den WD MyBook der Nutzerschlüssel NICHT dazu verwendet wird, den Plattenschlüssel zu verschlüsseln.

    (Eine ähnliche Problematik gibt es bei der ATA-Security, wo im BIOS ein Paßwort für die Disk gesetzt werden kann, z. B. bei HP heißt das DriveLock - dieses Paßwort verschlüsselt leider nicht den Plattenkey einer SED und ist daher auszuhebeln.)

    Nur ein Indiz unter mehreren:

    "New fast and efficient way to work with Encrypted Western Digital HDD"

    http://www.acelaboratory.com/news/newsitem.php?itemid=115

    Hier wird die verschlüsselte Platte ohne Gehäuse / Gehäuseelektronik dekodiert. Der Plattenschlüssel ist an mind. 2 Orten auf einem Maintenance-Track der Platte vorhanden - und anscheinend / mutmaßlich unverändert durch ein eventuell gesetztes Nutzerpaßwort.

    So jedenfalls mein derzeitiger Eindruck. Ich bin weiter am Recherchieren...

    Beste Grüße!

  4. Fauler Willi sagt:

    PS: Hinsichtlich der Sicherheit einer HW-Verschlüsselung sind 2 Kriterien zu beachten:

    1) Der Plattenkey soll vom Nutzerschlüssel verschlüsselt sein und
    2) Der Nutzerkey soll ebenfalls verschlüsselt sein.

    Beide Kriterien scheinen bei WD MyBooks (und auch in div. anderen Fällen von SEDs) verletzt zu sein. Bei WD MyBooks gibt es Indizien, daß der Nutzerkey auslesbar und durch Überschreiben rücksetzbar ist und daß Plattenkey und Nutzerkey nicht verknüpft sind.

    Die Problematik liegt generell darin, daß von Herstellerfirmen eine Sicherheit behauptet wird, die durch die Implementation im Produkt dann nicht gegeben ist. Zahlreiche "Datenrettungsangebote" im Web und auch einschlägige Beispiele aus Foren lassen solchen Zweifel aufkommen.

    Noch ein Zitat dazu: "Wer die Gesetzeslage in den USA zum Thema kennt, wird sich nicht fragen, ob man eine Versschlüsselung eines in den USA entwickelten oder auch nur verkauften Produktes aushebeln kann, sondern nur, wer das alles kann. "

  5. Fauler Willi sagt:

    PPS: Zitat aus einem HP-White Paper

    ATA Drive Lock (HP BIOS)
    Drive Lock is a part of the ATA standard, and restricts access to the SED unless the correct password is entered during POST to unlock the drive. Using ATA Drive Lock doesn’t require any additional software. In addition, when using ATA Drive Lock, an AK [Authentication Key, Anm.] is not created on the SED. This means that the DEK [Data Encryption Key, Anm.] is not encrypted, and is considered less secure. If possible, the drive should be properly provisioned as described in the next section.

    Hier wird explizit davon gesprochen, daß der Plattenkey (DEK) durch Drive Lock auf ATA-Kommando-Ebene nicht verschlüsselt wird. D. h. HP unterstellt den SED-Produzenten, daß sie das auf ATA-Kommando-Ebene übergebene Nutzerpaßwort NICHT dazu verwenden, den Plattenkey (DEK) zu verschlüsseln. HP selbst rät daher von Drive Lock ab und empfiehlt andere Maßnahmen.

    Das ist das Dilemma, in dem man sich befindet: Der SED-Hersteller sagt, mein Produkt ist völlig sicher, und der Notebook-Hersteller sagt das Gegenteil.

  6. Danke für Deine weitreichenden und interessanten Ausführungen. Etwas Wesentliches befindet sich meines Erachtens in dem von Dir zitierten Satz "[...] wird sich nicht fragen, ob man eine Verschlüsselung [...] aushebeln kann, sondern nur, wer das alles kann."

    Die wichtigste Frage, wenn man unterstellt, dass man es kann, ist die Frage, *wer* es kann. Hierin liegt auch die Spur zur Antwort: Nämlich: Niemand, den wir derzeit benennen können, kann es. Mir ist kein Tool bekannt, auch nicht im Deep Web, das diese Dienstleistung verrichtet. Und wenn doch, dann her mit dem Onion-Link, damit ich meine Platte knacken und darüber was schreiben kann.

    Wir können also nur theoretisch spekulieren (siehe dazu auch den Beitrag zu Bitlocker-Hintertüren), dass Gruppen wie (in der Reihenfolge der Zahl der Personen, die es dann auch können, weil sie Teil der Gruppe sind, beginnend vom kleineren hin zu breiteren Kreis) die Folgenden es können könnten:

    * Geheimdienste (NSA/CIA/BND/...)
    * Bundespolizei und (techn.) Inlandgeheimdienste (FBI/BKA/IKTZ)
    * "die Polizei-ei-ei"

    Mit zunehmend breiter Verfügbarkeit eines theoretischen Werkzeugs, das solche verschlüsselten Festplatten auslesen kann, steigt die Wahrscheinlichkeit, dass dieses Werkzeug leakt. Man muss sich also die Frage stellen:

    "Hätte "die Polizei" Zugriff auf das Tool, wäre es dann schon im Untergrund zu finden?"
    Ich denke, das darf man mit Ja beantworten, denn das sind einfach zu viele unzuverlässige Personen. Und weil wir dieses Tool nirgendwo sehen, darf man davon ausgehen, sie keinen Zugriff darauf hat.

    Blieben noch, rein theoretisch, Bundespolizeien, Inlands- und Auslandsgeheimdienste. Man könnte nun darüber spekulieren, ob jene dieses theoretische Tool haben und ihre Mitarbeiter, auch ehemalige, unzufriedene, gestresste, korrupte, leichtfertige, ideologisch leak-bereite, soweit unter Kontrolle haben, dass dieses Werkzeug nicht aus dem geheimen Kreis derer, die Zugriff darauf haben, austritt und in einen gewiss interessierten Untergrund gelangt (wo "wir" es finden würden).

    Aber diese Frage brauchen wir hier nicht zu stellen. Denn ab dieser Größenordnung (also: sobald diese Behörden ein Interesse an unserem Geheimnis hätten) tritt eine ganz andere Situation ein.

    Dazu muss man sich klarmachen: Das Instrument, also die verschlüsselnde Festplatte, kostet 100 Euro. Indem wir ein Geheimnis mit dieser Platte schützen, schützen wir das Geheimnis mit einem Aufwand von 100 Euro. Es kann also mit einiger Wahrscheinlichkeit Angriffen in der Spannbreite von 100 bis 1000 Euro standhalten (wobei die eigentliche Krypto wahrscheinlich nur 5 Euro kostet, aber das lasse ich jetzt mal beiseite).

    Sobald das zu schützende Geheimnis wertvoller ist als der Aufwand, den wir zum Schutz betreiben, ist dieser Schutz mit einiger Wahrscheinlichkeit unwirksam. Selbst wenn die Festplatte theoretisch unknackbar wäre, wären auch für 10.000 Euro ganz andere Methoden denkbar, an diese Daten zu gelangen.

    Da wir hier nicht über das sprechen, was ich gerne "James-Bond-Sicherheit" nenne, ist eine solche Platte daher in meinen Augen völlig unproblematisch zu nutzen für das Szenario, dass ich oben bei der Frage "Ist das MyBook 'sicher'?" beschreibe - natürlich nur, bis wir zum Beispiel gesicherte Kenntnis erhalten von einem Implementierungsfehler (das gilt aber auch für alle anderen Krypto-Umsetzungen).

    Wer mehr will, macht sich nur verrückt - für nichts. Denn mehr kann man nicht von einem 100-Euro-Gerät mit mutmaßlich 5-Euro-Verschlüsselungs-Komponente und von einem Nicht-Sicherheits-Hersteller erwarten, "USA-Faktor" hin oder her.

    Und das alles ist ohnehin eine rein theoretische, übertrieben nach irrelevanten Sicherheitsversprechungen strebende Betrachtung: Die Platte als Sicherheitsgimmick kann nicht sicherer sein, als die Umgebung (OS; umgebende IT; auch: Wohnung/Büro), in der sie betrieben wird.

    • Fauler Willi sagt:

      Wie gesagt, ich habe den Eindruck, daß jede Datenrettungsfirma, die z. B. ein System ("PC-3000") der Firma "ACE Lab" verwendet, ein WD MyBook knackt. In diversen Internetforen habe ich zudem Hinweise auf Tools gefunden, mit denen das Paßwort einer WD MyBook durch Zugriff auf den Maintenance-Track manipuliert werden kann.

      Für mich ist das Hinweis und Warnung genug, daß die theoretisch erzielbare Sicherheit durch HW-Verschlüsselung aufgrund der mangelhaften Implementierung (Plattenkey nicht durch Nutzerkey verschlüsselt usw.) nicht gegeben ist.

      Aber das muß jeder für sich entscheiden.

      Das Preisargument kann ich so nicht teilen, weil eine andere Implementierung (nämlich die Verschlüsselung von Plattenkey und Nutzerkey) keinerlei zusätzliche Produktionskosten verursacht. Das wären nur einige Codezeilen mehr.

      Ich habe mich deshalb so intensiv damit beschäftigt, weil ich eine Investitionsentscheidung unter Berücksichtigung von Sicherheitsaspekten treffen mußte. Aus diesem und einem anderen Grund habe ich mich gegen WD und für ein anderes Konzept (mit SW-Verschlüsselung) entschieden.

      Wie gesagt, die Argumente liegen am Tisch, die Entscheidung muß jeder für sich treffen.

      Nochmals besten Dank und herzliche Grüße!

      • Danke für die Diskussion! Ich bitte um Links zu diesen Foren mit den Tools, sonst ist das irgendwie nur "eine Gerüchte-Schicht mehr drüberlackiert".

        Ich kann auch nicht nachvollziehen, woher die Behauptung stammt, der Plattenkey würde durch den Nutzerkey nicht verschlüsselt: Dein Zitat dazu bezieht sich ja nicht auf dieses WD-Drive, in dem eine ganz normale Festplatte ihren Job verrichtet, wobei die Verschlüsselung via Gehäuse implementiert ist, sondern auf das Feature ATA Drive Lock, was eine ganz andere, nicht vergleichbare Funktion ist (und natürlich unsicher, weil ja nichts verschlüsselt, sondern eben nur "gelockt" wird, so, wie das auch bei einigen Security-USB-Sticks von zweifelhaftem Wert der Fall ist).

        Wir reden hier über den Unterschied von "Rechner mit Windows-Passwort geschützt" und "Rechner mit Windows-Passwort geschützt, wobei wichtige Nutzer-Verzeichnisse mit EFS verschlüsselt wurden" - bei beiden sind die Nutzerpasswörter "zurücksetzbar", aber in letzterem Fall sind die verschlüsselten Daten dann eben auch futsch (vulgo: "in Sicherheit").

        Dessen ungeachtet würde auch ich vorzugsweise zu einer SW-Verschlüsselung raten und tue das ja auch in obigem Beitrag. ;-)

        • Fauler Willi sagt:

          Nur als schnelle Beispiele für einen ersten Eindruck (es gibt mehr davon, Google hilft):

          "Unlocking ATA Password for Western Digital"
          http://forum.hddguru.com/viewtopic.php?t=8374&start=

          "Unlock WD My Book Essential"
          http://forum.hddguru.com/viewtopic.php?f=1&t=19408&sid=e295ed0baa0ef06be6df09eeb2855a9b&start=20
          ~~~~~~~~~~~~~~~~~~~
          I told you that nothing would help if you don't have/know the password ...............

          NOT true it is possible to decrypt the drive without the password based on the feedback I got from different DR services, so again that was useless.
          ~~~~~~~~~~~~~~~~~~~~~~

          Wenn man hartnäckig googelt, wird man auch das benötigte Tool zur Manipulation der Maintenance-Tracks finden (ich habe es nicht extra abgespeichert und suche es nicht nochmal raus.)

          Und selbst wenn man jetzt nicht an dieses Tool herankommen sollte - es genügt für mich, daß es z. B. die Firma AceLab gibt, die ihre Produkte weltweit vermarktet.

          Zum ATA Drive Lock: Ich kann in das Notebook eine SSD mit HW-Verschlüsselung reinstecken und Drive-Lock anwerfen. Jetzt ist die Frage, wie Drive-Lock in der SSD wirkt: Nutzt die SSD das übergebene Paßwort, um den Plattenkey zu verschlüsseln, ja oder nein? Es gibt eine Diskussion im Intel-Support-Forum, wo sich ein Intel-Vertreter sehr lange bitten ließ, bis er dann schließlich behauptete, alle Keys wären verschlüsselt. Ich glaub ihm das nicht. Man braucht sich nur mal ein bißchen auf den Produktseiten der Firma ACELab umzusehen, um mein Mißtrauen zu verstehen.

          Ähnliches gilt für WD MyBook: Das ist auch ein SED und erhält ein Nutzerpaßwort übergeben. Jetzt ist die Frage, wie das WD My Book damit umgeht. Nach allem, was ich gesehen habe, habe ich kein Vertrauen in eine starke Implementierung.

          Ein weiterer Link als gute Ausgangsbasis zur Problematik:
          "I want the TRUTH about SSDs and FDE (Full Disk Encryption) / SED (Self-Encrypting Dri"
          http://arstechnica.com/civis/viewtopic.php?f=11&t=1243475

          • Ganz ehrlich: Forenkommentaren wie "it is possible to decrypt the drive without the password based on the feedback I got from different DR services" würde ich nicht weiter trauen als ich Lauren Bacall werfen kann. Zumal wenn die eigentliche Diskussion aus dem Jahr 2005 stammt - zu dieser Zeit war es in der Tat noch so, dass viele SEDs keine Sicherheit lieferten. Und der letzte Kommentar ("NOT TRUE...") stammt von 2011 und von einem User ("aena9200"), der in diesem Forum fast nur diese eine Message loswerden wollte und auf dieser beharrt hat, ohne sie je zu belegen.

            Sorry, ich wittere maximalen Bullsh-Faktor. So entstehen bloß Verschwörungstheorien.

            Auch ist das WD MyBook nun mal kein SED im Sinne einer ATA-Festplatte mit Drive Lock und FDE-Feature, daher gilt alles immer wieder gegen ATA Drive Lock & Co vorgebrachte hier einfach nicht; es ist eine stinknormale Festplatte mit Encryption-Gehäuse drumherum. - Das Verschlüsselungsgehäuse, das nichts anders ist als ein TrueCrypt-artiges System als Hardware implementiert, kann aber selbstverständlich, weil WD nun mal kein Krypto-Unternehmen ist, Implementierungsschwächen haben, gar keine Frage.

            Ein Disk-Rettungs-Unternehmen könnte sich übrigens prima PR verschaffen, indem es nachweist, dass es mit Produkten-wie-diesem gesicherte Daten "recovert" hat. Jeder würde die Story bringen. Also bitte: Machen, vorführen, zeigen, belegen. Aber bitte nicht herumvermuten - und das auch auf Basis von vagen Vermutungen von Unbekannten, die sich (vor Jahren) vor echten Aussagen drückten. Ich bleibe daher bei allem oben im Abschnitt Ist das MyBook 'sicher'? gesagten und möchte mich da auch noch mal selbst zitieren: "Betont sei aber, dass die Einwände dieser Experten für die Zielgruppe von Familienvätern, die ihre zweite Buchhaltung oder ihre heruntergeladenen Russ-Meyer-Filmchen vor der Gattin verstecken wollen, weit über das Ziel hinausschießen, zumal die gegebenen Sicherheitsprobleme durch bequeme Fehlbedienung [...] viel wahrscheinlicher sind."

  7. Fauler Willi sagt:

    Ich hab jetzt noch etwas Aktuelleres gefunden von Mai 2015:
    ~~~~~~~~~~~~~~~~~~~~~~~~
    There are two generations of WD encrypted drives:

    1st generation - WD drives with USB encryption bridge (based on encryption controller chips like Initio, Symwave, JMicron)

    2nd generation - WD drives with encryption inside the Main IC chip (SED - Self-Encrypting Drives).

    At the same time, WD drives have a SmartWare utility that can set the user password. In other words, there are two methods of encryption:

    1) Using encryption key (by default).
    2) Using encryption key + user password (optionally).

    For the 1st generation drives:
    =====================
    If a WD drive is based on the encryption bridge Symway, the PC-3000 will get access to the user data, no matter if the user password is set or not.

    If a WD drive is based on encryption bridges Initio or JMicron and the user password is set, the PC-3000 will require to enter the user password (user password is needed).

    For the 2nd generation drives:
    =====================
    All the Self-Encryption Drives from the 2nd generation can be successfully decrypted by the PC-3000 no matter whether the user password is set or not.

    ...
    Meanwhile, our developers are working hard with deep research on how to deal with problem cases where password can't be unlocked. This is not easy and it will take some time.
    ~~~~~~~~~~~~~~~~~~~~~~~~
    http://acelaboratory.ru/forum/viewtopic.php?f=37&t=8508

    Es gibt also Fälle (Controller-Chips Initio or JMicron), in denen das gesetzte Password (noch) schützt ("problem cases"). Aber ACELab arbeitet daran...

  8. Fauler Willi sagt:

    PS: Wenn man Pech hat (kein Initio oder JMicron im WD-MyBook oder ACELab liefert das nötige Update), geht die Gattin mit dem WD MyBook zu einem kompetenten DR-Service und läßt sich die paßwortgeschützten Daten auslesen...

    • Ah, das sieht doch schon mal nach einer Info aus, Danke! Es wäre nun die Frage zu klären, ob das MyBook 3 TB, das sich selbst ja als "My Book 3.0" bezeichnet, nicht vielleicht "third generation" ist und welche Chips intern genutzt werden, zumal ja hier eben nicht, anders als im Forum behauptet, Smartware für den Passwortschutz genutzt wird. Aber diese Diskussion ist müßig, weil sie mich zunehmend in die Rolle drängt, dieses Gerät zu verteidigen, dabei bleibt es ja einfach nach wie vor nur beim oben gesagten, siehe Abschnitt "Ist das MyBook 'sicher'?", und meine dort und andernorts immer wieder geäußerten Hinweise, dass ein Schutz, der X Euro kostet, keine Geheimnisse schützen kann, die oder deren Preisgabe ein vielfaches dieser X Euro kosten würden, beim Datenrettungsservice wahrscheinlich 200 Euro allein für die Analyse, ob's geht oder nicht, dann nochmal so viel, für's machen, wenn's geht.

      Wessen Frau allerdings einem russischen Unternehmen ihre Zahlungsdaten gibt, um Daten des Mannes auszulesen, dessen Ehe ist sowieso nicht mehr zu retten ;-)

  9. Fauler Willi sagt:

    Ich möchte nach all den (stichprobenartigen und sicher nicht erschöpfenden!) Internet-Recherchen meinen letzten Eindruck bez. der (Un-)Sicherheit nochmals zusammenfassen:

    Externe USB-Laufwerke von WD (MyBook usw.) mit Hardware-Verschlüsselung werden anscheinend in unterschiedlichen Varianten produziert: Unterschiedliche Controller-Chips, unterschiedliche Firmware usw. Welche Variante man erwirbt, weiß man letztlich erst, wenn man so ein externes Laufwerk nach dem Kauf untersucht.

    Je nach Produktionsvariante sind die Nutzerdaten von einem professionellen Datenrettungs-Service ohne oder nur mit Nutzer-Passwort auslesbar, d. h. in manchen Fällen schützt das Nutzer-Passwort effektiv und in anderen nicht. Daraus ist auch verständlich, dass die einen sagen, es geht, und die anderen sagen, es geht nicht.

    Es bleibt somit immer ein Risiko, dass man eine Produktionsvariante erwirbt, die aufgrund einer Implementationsschwäche bereits geknackt wurde oder zukünftig vielleicht noch geknackt wird.

    Der springende (Un-)Sicherheits-Punkt ist immer das Schlüsselmanagement, egal ob es sich um SW- oder HW-Verschlüsselung handelt. Das Schlüsselmanagement kann stark oder schwach implementiert sein, davon hängt die Sicherheit ab. Das ist im wesentlichen keine Kostenfrage, da es sich hier um ein paar Code-Zeilen in der Produktentwicklung handelt: Man kann eine schwache oder eine starke Variante programmieren, die gesamten Entwicklungskosten werden davon kaum berührt.

    Das ist meine Meinung. Mir geht es dabei nicht darum, ein Produkt zu verteidigen oder anzugreifen, sondern um das Funktions-Verständnis. Sapere aude!

    • Fauler Willi sagt:

      PS: Bedanke mich nochmals bei Ihnen, Herr Winterer, für die geduldige, fruchtbare Debatte!

    • Kein Problem, ich hatte das schon auch so verstanden, nur fühlte ich mich eben zunehmend in die Rolle eines Produktverteidigers gedrängt, und das ist nun mal nicht meine und ich möchte davon auch ausdrücklich distanzieren: Diese Platte ist nur ein Vorschlag, eine Inspiration, meine grundsätzlichen Zweifel an dieser Art der Verschlüsselung habe ich schon im Beitrag ausgedrückt. Den meisten alltagsnahen Sicherheitsanforderungen wird das Gerät aber gewiss genügen, und zielgerichtete Angriffe hätten eben andere Hebel.

      Ich unterstütze es ausdrücklich, sich in Sicherheitsfragen seines eigenen Verstandes zu bedienen. Ich kann aus genau diesem Grunde einfach nichts mit dem oft vertretenen Standpunkt anfangen, dass alles, was nicht einer theoretisch maximal möglichen Sicherheitsidee standhält, deswegen schon "unsicher" und damit abzulehnen ist. Die Wirklichkeit enthält hier viele Schattierungen. Eine Analogie sei erlaubt: Über die Sicherheit des Türschlosses gegen den Angriff von Behörden wird fieberhaft diskutiert und Expertenmeinungen über Stiftmechaniken, Schlüsselbartdesign und Stiftzahlen eingeholt und aufgetürmt, doch die Robustheit der Türangel hinterfragt kaum jemand, die Fenster hat man vergessen und von der Aufbewahrungssicherheit des Schlüssels gehen alle stillschweigend aus, dafür sei ja der Nutzer verantwortlich. Oder kurz: "PGP auf Windows bei Nutzern mit suboptimalen IT-Kenntnissen".

      Das Problem, dass Sicherheitsprodukte wegen einer Implementierungsschwäche (man denke nur an die Schwierigkeit, Zufall herzustellen) oder einfach wegen nicht mehr ausreichender Sicherung "eines Tages mal geknackt" werden könnten, hat übrigens jedes Sicherheitsprodukt. Auch heute als sicher geltende Software wie TrueCrypt und dessen Nachfolger VeraCrypt können sich eines Tages als unsicher entpuppen, auch mit Audit - dies lehren Beispiele wie WEP oder DES.

      Zur "Kostenfrage": Na klar kosten Tools wie TrueCrypt den User "nichts", aber das ist ja nicht der wahre Preis dieses Tools. Auch geht es bei der Kostenfrage vor allem darum, den Nutzern vor Augen zu halten, wie sehr von medialer Paranoia getriebenes Anspruchsdenken ("100% Schutz gegen weltweite Geheimdienste und ihre technischen Abteilungen") und Materialeinsatz ("Download eines Freeware-Tools von *irgendeiner* Webseite", "Kauf einer 100-Euro-Festplatte") auseinanderklaffen.